我有一个引擎安装在我的主应用程序中,我想保护该引擎内的某些控制器和操作。
该引擎是通过以下方式挂载的:
mount SomeEngine::Engine => '/some_engine'
Devise/CanCan与主应用程序的其余控制器和操作配合使用,但在没有其他任何内容的情况下运行会产生此错误:
This action failed the check_authorization because it does not authorize_resource. Add skip_authorization_check to bypass this check.
我使用修饰器的方法从主应用程序中打开引擎控制器并添加:
load_and_authorize_resource
然后我遇到了这个错误:
No route matches {:action=>"new", :controller=>"devise/sessions"}
我可以使用以下方法使事情工作起来,但在实现角色时会感到笨重:
authenticate :administrator do
mount SomeEngine::Engine => '/some_engine'
end
我所说的“笨重”是指我必须为每个具有访问引擎权限的角色在routes.rb文件中复制上述代码块……除非有另一种使用角色进行身份验证的方法,这是我不知道的吗?
如果可能的话,我想在控制器中使用普通的Devise/CanCan授权/身份验证方法。但是我认为“没有路由匹配”错误是因为引擎不知道如何进入主应用程序的Devise控制器。但是我如何从主应用程序解决这个问题呢?
还有一个问题要考虑……引擎中有一个特定的控制器/操作,我希望所有用户都可以访问。到目前为止,我只是将其添加到routes.rb文件中身份验证代码块之前。
match '/some_engine' => 'some_engine/some_controller#public_action'
它能够工作……但是在routes.rb中使用块的这一行似乎我做错了什么。这也不允许我很好地实现角色。